Поделиться через

Использование BitLocker с общими томами кластера (CSV)

  • Статья

Применимо к: Azure Stack HCI версии 21H2; Windows Server 2022

Обзор BitLocker

Шифрование диска BitLocker — это функция защиты данных, которая интегрируется с операционной системой и устраняет угрозы кражи или раскрытия данных на потерянных, украденных или недостаточно списанных компьютерах.

Шифрование BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM) версии 1.2 или выше. TPM — это аппаратный компонент, установленный на многих новых компьютерах производителями компьютеров. Он работает с BitLocker для защиты пользовательских данных и обеспечения того, чтобы компьютер не был изменен, пока система была отключена.

На компьютерах без доверенного платформенного модуля версии 1.2 или более поздней можно использовать BitLocker для шифрования диска операционной системы Windows. Однако при этом пользователь должен вставить USB-ключ запуска для запуска компьютера или выхода из режима гибернации. Начиная с Windows 8 можно использовать пароль тома операционной системы для защиты тома на компьютере без доверенного платформенного модуля. Ни тот, ни иный вариант не обеспечивает проверку целостности системы перед запуском, предлагаемую BitLocker с помощью доверенного платформенного модуля.

Помимо доверенного платформенного модуля BitLocker позволяет заблокировать обычный процесс запуска, пока пользователь не предоставит личный идентификационный номер (ПИН-код) или не вставляет съемный носитель. Это устройство может быть USB-устройством флэш-памяти, содержащим ключ запуска. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и гарантию того, что компьютер не запустится или не возобновится из режима гибернации, пока не появится правильный ПИН-код или ключ запуска.

Общие сведения о томах кластера

Общие тома кластера (CSV) позволяют нескольким узлам в отказоустойчивом кластере Windows Server или Azure Stack HCI одновременно иметь доступ на чтение и запись к одному и тому же логическому номеру устройства (LUN) или диску, подготовленному в качестве тома NTFS. Диск можно подготовить как устойчивую файловую систему (ReFS). Однако диск CSV будет находиться в режиме перенаправления, что означает, что доступ на запись будет отправлен узлу-координатору. С помощью CSV кластеризованные роли могут быстро выполнять отработку отказа с одного узла на другой без необходимости изменения владельца диска или отключения и повторного подключения тома. Тома CSV также помогают упростить управление большим числом LUN в отказоустойчивом кластере.

CSV-файл предоставляет кластеризованную файловую систему общего назначения, расположенную поверх NTFS или ReFS. Тома CSV применяются в следующих целях:

  • Файлы кластеризованного виртуального жесткого диска (VHD/VHDX) для кластеризованных виртуальных машин Hyper-V
  • Масштабирование общих папок для хранения данных приложения для кластерной роли файлового сервера Scale-Out. К примерам данных приложений для этой роли относятся файлы виртуальных машин Hyper-V и данные Microsoft SQL Server. ReFS не поддерживается для файлового сервера Scale-Out в Windows Server 2012 R2 и ниже. Дополнительные сведения о файловом сервере Scale-Out см. в разделе Масштабируемый файловый сервер для данных приложения.
  • Экземпляр отказоустойчивого кластера Microsoft SQL Server 2014 (или более поздней версии) Microsoft SQL Server кластеризованные рабочие нагрузки в SQL Server 2012 и более ранних версиях SQL Server не поддерживают использование CSV.
  • Windows Server 2019 или более поздней версии Microsoft Distributed Transaction Control (MSDTC)

Использование BitLocker с общими томами кластера

Управление BitLocker на томах в кластере зависит от того, как служба кластера "просматривает" защищаемый том. Том может быть ресурсом физического диска, например логическим номером единицы (LUN) в сети хранения данных (SAN) или подключенном к сети хранилище (NAS).

Кроме того, том может быть общим томом кластера (CSV) в кластере. При использовании BitLocker с томами, назначенными для кластера, том можно включить с помощью BitLocker до его добавления в кластер или при его добавлении в кластер. Перед включением BitLocker переведите ресурс в режим обслуживания.

Windows PowerShell или интерфейс командной строки Manage-BDE является предпочтительным методом управления BitLocker на томах CSV. Этот метод рекомендуется использовать для элемента BitLocker панель управления, так как тома CSV являются точками подключения. Точки подключения — это объект NTFS, который используется для предоставления точки входа для других томов. Точки подключения не требуют использования буквы диска. Тома, в котором отсутствуют буквы диска, не отображаются в элементе BitLocker панель управления.

BitLocker разблокирует защищенные тома без вмешательства пользователя, пытаясь использовать предохранители в следующем порядке:

  1. Очистить ключ

  2. Ключ автоматической разблокировки на основе драйвера

  3. Защита ADAccountOrGroup

    1. Предохранитель контекста службы

    2. Предохранитель пользователя

  4. Ключ автоматической разблокировки на основе реестра

Для отказоустойчивого кластера требуется параметр защиты на основе Active Directory для ресурса диска кластера. В противном случае ресурсы CSV недоступны в элементе панель управления.

Средство защиты доменные службы Active Directory (AD DS) для защиты кластеризованных томов, хранящиеся в инфраструктуре AD DS. Предохранитель ADAccountOrGroup — это средство защиты на основе идентификатора безопасности домена (SID), которое может быть привязано к учетной записи пользователя, учетной записи компьютера или группе. При выполнении запроса на разблокировку защищенного тома служба BitLocker прерывает запрос и использует API-интерфейсы защиты и отмены защиты BitLocker для разблокировки или отклонения запроса.

Новые функции

В предыдущих версиях Windows Server и Azure Stack HCI единственным поддерживаемым предохранителем шифрования была защита на основе sid, где используется учетная запись CNO, которая создается в Active Directory в рамках создания отказоустойчивой кластеризации. Это безопасная конструкция, так как предохранитель хранится в Active Directory и защищен паролем CNO. Кроме того, это упрощает подготовку и разблокировку томов, так как каждый узел отказоустойчивого кластера имеет доступ к учетной записи CNO.

Недостаток в три раза:

  • Очевидно, что этот метод не работает при создании отказоустойчивого кластера без доступа к контроллеру Active Directory в центре обработки данных.

  • Разблокировка тома в рамках отработки отказа может занять слишком много времени (и, возможно, время ожидания), если контроллер Active Directory не отвечает или медленно.

  • Интерактивный процесс диска завершится ошибкой, если контроллер Active Directory недоступен.

Добавлены новые функции, благодаря которым отказоустойчивая кластеризация создает и обслуживает собственный предохранитель ключа BitLocker для тома. Он будет зашифрован и сохранен в базе данных локального кластера. Так как база данных кластера является реплицированным хранилищем, поддерживаемым системным томом на каждом узле кластера, системный том на каждом узле кластера также должен быть защищен BitLocker. Отказоустойчивая кластеризация не будет применять ее, так как некоторые решения могут не захотеть или зашифровать системный том. Если системный диск не является bitlockered, отказоустойчивый кластер пометит это событие как предупреждение во время подключения и разблокировки. При проверке отказоустойчивого кластера будет заночено в журнал сообщение, если обнаруживается, что это настройка без Active Directory или рабочей группы, а системный том не зашифрован.

Установка шифрования BitLocker

BitLocker — это функция, которую необходимо добавить на все узлы кластера.

Добавление BitLocker с помощью диспетчера сервера

  1. Откройте диспетчер сервера, щелкнув значок диспетчер сервера или запустив servermanager.exe.

  2. Выберите Управление на панели навигации диспетчер сервера и выберите Добавить роли и компоненты, чтобы запустить мастер добавления ролей и компонентов.

  3. Открыв мастер добавления ролей и компонентов , нажмите кнопку Далее на панели Перед началом работы (если она показана).

  4. Выберите Установка ролей или компонентов в области Тип установкив области Мастер добавления ролей и компонентов и нажмите кнопку Далее , чтобы продолжить.

  5. Выберите параметр Выбрать сервер из пула серверов в области Выбор сервера и подтвердите установку компонента BitLocker.

  6. Нажмите кнопку Далее на панели Роли сервера мастера добавления ролей и компонентов , чтобы перейти к панели Компоненты .

  7. Выберите поле проверка рядом с параметром Шифрование диска BitLocker в области Компоненты мастера добавления ролей и компонентов. В мастере будут отображены дополнительные возможности управления, доступные для BitLocker. Если вы не хотите устанавливать эти компоненты, снимите флажок Включить средства управления и выберите Добавить компоненты. После завершения выбора дополнительных компонентов нажмите кнопку Далее , чтобы продолжить.

    Примечание

    Функция расширенного хранилища является обязательной для включения BitLocker. Эта функция обеспечивает поддержку зашифрованных жестких дисков в системах с поддержкой .

  8. Выберите Установить в области Подтверждениямастера добавления ролей и компонентов , чтобы начать установку компонентов BitLocker. Для завершения установки BitLocker требуется выполнить перезагрузку. При выборе параметра Автоматический перезапуск целевого сервера при необходимости в области подтверждения компьютер будет принудительно перезагружен после завершения установки.

  9. Если флажок Автоматически перезапускать целевой сервер при необходимости проверка не установлен, в области Результатымастера добавления ролей и компонентов отобразится сообщение об успешной или неудачной установке компонента BitLocker. При необходимости в тексте результатов будет отображаться уведомление о дополнительных действиях, которые необходимо выполнить для завершения установки компонента, таких как перезагрузка компьютера.

Добавление BitLocker с помощью PowerShell

Используйте следующую команду для каждого сервера:

Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools

Чтобы выполнить команду на всех серверах кластера одновременно, используйте следующий скрипт, изменив список переменных в начале в соответствии с вашей средой:

Заполните эти переменные своими значениями.

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker"

Эта часть запускает командлет Install-WindowsFeature на всех серверах в $ServerList, передавая список функций в $FeatureList.

Invoke-Command ($ServerList) {  
    Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools 
}

Затем перезапустите все серверы:

$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos

Одновременно можно добавить несколько ролей и компонентов. Например, чтобы добавить BitLocker, отказоустойчивую кластеризацию и роль файлового сервера, $FeatureList будет включать все необходимое, разделенное запятой. Пример:

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker", "Failover-Clustering", "FS-FileServer"

Подготовка зашифрованного тома

Подготовка диска с шифрованием BitLocker может выполняться либо тогда, когда диск является частью отказоустойчивого кластера, либо вне его перед добавлением. Чтобы автоматически создать внешний предохранитель ключей, перед включением BitLocker диск должен быть ресурсом в отказоустойчивом кластере. Если bitLocker включен перед добавлением диска в отказоустойчивый кластер, необходимо выполнить дополнительные действия вручную для создания внешнего предохранителя ключей.

Для подготовки зашифрованных томов потребуется выполнить команды PowerShell с правами администратора. Существует два варианта шифрования дисков и возможность создания и использования собственных ключей BitLocker для отказоустойчивой кластеризации.

  • Внутренний ключ восстановления

  • Внешний файл ключа восстановления

Шифрование с помощью ключа восстановления

Шифрование дисков с помощью ключа восстановления позволит создать и добавить ключ восстановления BitLocker в базу данных кластера. Так как диск подключен к сети, ему нужно обратиться только к кусту локального кластера для получения ключа восстановления.

Переместите дисковый ресурс на узел, где будет включено шифрование BitLocker:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1

Переведите ресурс диска в режим обслуживания:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource

Появится диалоговое окно со следующим сообщением:

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume 'Cluster Disk 1'? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Чтобы продолжить, нажмите кнопку Да.

Чтобы включить шифрование BitLocker, выполните следующую команду:

Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector

После ввода команды появится предупреждение, которое предоставляет числовой пароль восстановления. Сохраните пароль в безопасном расположении, так как он также потребуется на предстоящем шаге. Предупреждение будет выглядеть примерно так:


WARNING: ACTIONS REQUIRED:

    1. Save this numerical recovery password in a secure location away from your computer:
        
        271733-258533-688985-480293-713394-034012-061963-682044

    To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.

Чтобы получить сведения о предохранителе BitLocker для тома, можно выполнить следующую команду:

(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector

Отобразится идентификатор предохранителя ключа и строка пароля восстановления.

KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :

Потребуется идентификатор предохранителя ключа и пароль восстановления, которые будут сохранены в новом частном свойстве физического диска с именем BitLockerProtectorInfo. Это новое свойство будет использоваться при выходе ресурса из режима обслуживания. Формат предохранителя — это строка, в которой идентификатор и пароль разделяются символом ":".

Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create

Чтобы проверить, заданы ли ключ и значение BitlockerProtectorInfo , выполните команду :

Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo

Теперь, когда информация присутствует, диск можно вывести из режима обслуживания после завершения процесса шифрования.

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource

Если ресурс не подключен к сети, это может быть проблема с хранилищем, неправильный пароль восстановления или некоторая проблема. Убедитесь, что ключ BitlockerProtectorInfo содержит правильные сведения. Если это не так, ранее заданные команды следует выполнить снова. Если проблема не связана с этим ключом, мы рекомендуем использовать соответствующую группу в вашей организации или поставщика хранилища, чтобы устранить эту проблему.

Если ресурс подключен к сети, информация будет правильной. Во время выхода из режима обслуживания ключ BitlockerProtectorInfo удаляется и шифруется в ресурсе в базе данных кластера.

Шифрование с помощью файла внешнего ключа восстановления

Шифрование дисков с помощью файла ключа восстановления позволит создать ключ восстановления BitLocker и получить к ней доступ из расположения, к которому имеют доступ все узлы, например файлового сервера. Когда диск подключается к сети, узел-владение подключается к ключу восстановления.

Переместите дисковый ресурс на узел, где будет включено шифрование BitLocker:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2

Переведите ресурс диска в режим обслуживания:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource

Появится диалоговое окно

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume 'Cluster Disk 2'? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Чтобы продолжить, нажмите кнопку Да.

Чтобы включить шифрование BitLocker и создать файл защиты ключей локально, выполните следующую команду. Рекомендуется сначала создать файл локально, а затем переместить его в расположение, доступное для всех узлов.

Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster

Чтобы получить сведения о предохранителе BitLocker для тома, можно выполнить следующую команду:

(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector

Отобразится идентификатор предохранителя ключа и имя файла ключа, который он создает.

KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :

При переходе к указанной папке, создающей ее в, вы не увидите ее с первого взгляда. Причина заключается в том, что он будет создан как скрытый файл. Пример:

C:\Windows\Cluster\>dir f03  

Directory of C:\\Windows\\Cluster 

File Not Found 

C:\Windows\Cluster\>dir /a f03  

Directory of C:\Windows\Cluster 

<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK 

C:\Windows\Cluster\>attrib f03 

A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Так как он создается по локальному пути, его необходимо скопировать в сетевой путь, чтобы все узлы имели к нему доступ с помощью команды Copy-Item .

Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir

Так как диск будет использовать файл и находится в общей сетевой папке, выведите диск из режима обслуживания, указав путь к файлу. После завершения шифрования диска его возобновление будет выполняться следующим образом:

Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

После подготовки диска объект *. BEK-файл можно удалить из общего доступа и больше не требуется.

Новые командлеты PowerShell

С помощью этой новой функции были созданы два новых командлета, чтобы перевести ресурс в режим "в сети" или возобновить ресурс вручную с помощью ключа восстановления или файла ключа восстановления.

Start-ClusterPhysicalDiskResource

Пример 1

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Пример 2

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Resume-ClusterPhysicalDiskResource

Пример 1

    Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Пример 2

     Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Новые события

Добавлено несколько новых событий, которые находятся в канале событий Microsoft-Windows-FailoverClustering/Operational.

При успешном создании предохранителя ключа или файла предохранителя ключей отображаемое событие будет выглядеть следующим образом:

Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.

Если произошел сбой при создании предохранителя ключа или файла предохранителя ключей, отображаемое событие будет выглядеть следующим образом:

Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume

Как упоминалось ранее, так как база данных кластера является реплицированным хранилищем, поддерживаемым системным томом на каждом узле кластера, рекомендуется, чтобы системный том на каждом узле кластера также был защищен BitLocker. Отказоустойчивая кластеризация не будет применять ее, так как некоторые решения могут не захотеть или зашифровать системный том. Если системный диск не защищен BitLocker, отказоустойчивый кластер пометит это как событие во время процесса разблокировки или подключения к сети. Отображаемое событие будет выглядеть следующим образом:

Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1

При проверке отказоустойчивого кластера будет регистрироваться сообщение, если обнаруживается, что это настройка без Active Directory или рабочей группы, а системный том не зашифрован.